Priorisieren Sie LDAP, wenn Sie passwd und group verwenden

474
Rankaba

Ich habe mehrere Server, von denen einer als LDAP-Server verwendet wird. Andere Server sind so konfiguriert, dass sie sich beim LDAP-Server authentifizieren.

Wenn ein Benutzer hinzugefügt wird, erstelle ich auf S1 einen Unix-Benutzer und migriere ihn dann zu LDAP, was meines Erachtens falsch ist, aber ich weiß nicht, wie er besser ist. Jetzt möchte ich das Passwort für meinen LDAP-Benutzer auf S1 ändern, aber stattdessen wird eine passwdEingabeaufforderung current (UNIX) passwordangezeigt current (LDAP) password.

Wie gebe ich LDAP eine höhere Priorität als die lokale Authentifizierung für passwdandere Situationen wie die Anmeldung?

Eine andere Frage ist übrigens: Kann ich mit LDAP eine UNIX-Gruppe für Benutzer angeben?

0

1 Antwort auf die Frage

1
Michael Ströder

Wenn ein Benutzer hinzugefügt wird, erstelle ich auf S1 einen Unix-Benutzer und migriere ihn dann zu LDAP, was meines Erachtens falsch ist, aber ich weiß nicht, wie er besser ist.

Sie können die NSS / PAM-Benutzerverwaltung auf Ihrem LDAP-Server direkt mit sich selbst integrieren. Ich mache das mit meinen Æ-DIR- Servern. Natürlich müssen Sie vorsichtig sein, um sich nicht auszusperren, wenn etwas schief geht. Daher ist es eine gute Idee, neben mehreren Replikaten für das Failover eine Art Notfall-Login zur Verfügung zu haben.

Jetzt möchte ich das Passwort für meinen LDAP-Benutzer auf S1 ändern, aber passwd fordert das aktuelle (UNIX) Passwort anstelle des aktuellen (LDAP) Passworts an.

Dies ist Teil der lokalen PAM-Konfiguration . Sie haben nichts über das von Ihnen verwendete Linux gesagt. Bei den meisten Linux-Varianten befindet sich die PAM-Konfiguration jedoch heute im Verzeichnis /etc/pam.d/. Der relevante PAM-Konfig-Teil ist der relevante PAM-Typ, wenn das Kennwort geändert wird, "Kennwort". Die Reihenfolge kann auch mit der PAM-Konfiguration geändert werden.

Übrigens: Ich würde nicht zulassen, dass sich alle Benutzer bei den LDAP-Servern anmelden, um ihr Kennwort mit dem passwdTool zu ändern . Ich würde empfehlen, für diesen Anwendungsfall eine webbasierte Kennwort-Self-Service-App bereitzustellen.

Seien Sie gewarnt, dass PAM komplex ist: Sie können sich große Sicherheitslöcher ausheben und / oder sich aussperren. Versuchen Sie es daher zuerst mit virtuellen Einwegmaschinen.

Möglicherweise möchten Sie auch /etc/nsswitch.conf optimieren, wenn Sie Ihr Linux mit einer LDAP-basierten Benutzerverwaltung integrieren möchten.

Vielleicht möchten Sie sich die vollständigen gebrauchsfertigen Lösungen anschauen: